S říjnovými aktualizacemi bude rušně ze všech stran. Microsoft tento měsíc výrazně překonal lednový počet CVE (159 CVE), když vyřešil 172 CVE. Tento měsíc byly vyřešeny tři zneužité a dvě veřejně odhalené zranitelnosti, ale naštěstí jsou všechny součástí kumulativní aktualizace operačního systému, takže řešení je rychlé a jednoduché. Konec životního cyklu mnoha produktů, včetně Windows 10, také dosáhl! Kromě toho konce životního cyklu dosáhly i Office 2016 a 2019 a Exchange Server 2016 a 2019.
Společnost Adobe vydala 12 aktualizací, které vyřešily 36 CVE. Mozilla vydala pět aktualizací, které vyřešily 45 CVE, a varuje uživatele, že tři z těchto CVE vykazují známky možného zneužití (nepotvrzeno). A samozřejmě se očekává, že Google Chrome vydá svou týdenní aktualizaci v příštích 24 hodinách.
Je toho hodně k vybalení, tak se do toho pustíme.
Zneužívané zranitelnosti společnosti Microsoft
Společnost Microsoft vyřešila zranitelnost typu „Bezpečné spouštění“ v systému IGEL OS před verzí 11 (CVE-2025-47827), u které Microsoft potvrdil, že je zneužívána. Zranitelnost CVE je označena jako důležitá a má skóre 4,6 v systému CVSS 3.1. Zranitelnost „Bezpečné spouštění“ lze obejít, protože modul igel-flash-driver nesprávně ověřuje kryptografický podpis, což umožňuje připojení vytvořeného kořenového souborového systému z neověřeného obrazu.
Společnost Microsoft vyřešila zranitelnost umožňující zvýšení oprávnění ve Správci připojení vzdáleného přístupu (CVE-2025-59230), u které Microsoft potvrdil, že je zneužívána. Tato zranitelnost CVE je hodnocena jako důležitá a má skóre 7,8 v systému CVSS 3.1. Nesprávné řízení přístupu ve Správci připojení vzdáleného přístupu systému Windows umožňuje oprávněnému útočníkovi lokálně zvýšit oprávnění. Metodologie prioritizace založená na riziku by ospravedlnila považovat tuto zranitelnost za kritickou.
Společnost Microsoft vyřešila zranitelnost typu „elevation of Privilege“ v ovladači modemu Agere (CVE-2025-24990), u které potvrdila, že je zneužívána. Tato zranitelnost CVE je označena jako důležitá a má skóre 7,8 v indexu CVSS 3.1. Ovladač byl nativně dodáván s operačním systémem Windows. Společnost Microsoft ovladač odstranila s říjnovou kumulativní aktualizací a doporučuje odstranit všechny existující závislosti na hardwaru tohoto faxmodemu. Zneužití je možné, i když se disk nepoužívá. Metodologie prioritizace založená na riziku by odůvodňovala, že je tato zranitelnost považována za kritickou.
Veřejně zveřejněné zranitelnosti společnosti Microsoft
Společnost Microsoft vyřešila zranitelnost umožňující zvýšení oprávnění v ovladači modemu Agere (CVE-2024-24052), o které potvrdila, že je veřejně zveřejněna. Tato zranitelnost CVE je hodnocena jako důležitá a má skóre 7,8 v systému CVSS 3.1. Vyspělost exploitového kódu je uvedena jako „proof-of-concept“, což zvyšuje riziko zneužití. Metodologie prioritizace založená na riziku by opodstatňovala, že se s touto zranitelností bude zacházet jako s kritickou.
Společnost Microsoft vyřešila zranitelnost umožňující čtení mimo hranice v referenční implementaci TCG TPM2.0 (CVE-2024-2884), o které potvrdila, že je veřejně zveřejněna. Tato zranitelnost CVE je hodnocena jako důležitá a má skóre 5,3 v systému CVSS 3.1. Vyspělost exploitového kódu je uvedena jako neprokázaná, což znamená, že v současné době neexistuje žádný veřejně dostupný kód.
Bezpečnostní upozornění Ivanti
Společnost Ivanti vydala dvě aktualizace a jedno bezpečnostní upozornění pro říjnové úterý, které vyřešily celkem sedm chyb CVE. Mezi postižené produkty patří Ivanti Neurons for MDM a Ivanti Endpoint Manager Mobile. Zranitelnosti Ivanti Neurons for MDM byly u všech zákazníků vyřešeny 10. října 2025. Pro Ivanti Endpoint Manager bylo vydáno další bezpečnostní upozornění, které poskytuje možnosti zmírnění zranitelností odhalených 7. října 2025.
Zranitelnosti třetích stran
- Společnost Adobe vydala 12 aktualizací, které řeší 36 chyb CVE. Společnost Adobe ohodnotila aktualizaci Commerce jako prioritu dva a zbytek aktualizací jako prioritu tři.
- Mozilla vydala pět aktualizací, které vyřešily 45 CVE. Tři z těchto CVE obsahovaly variace prohlášení: „Některé z těchto chyb vykazovaly známky poškození paměti a předpokládáme, že s dostatečným úsilím by některé z nich mohly být zneužity ke spuštění libovolného kódu,“ což naznačuje možnost zneužití. Všech pět aktualizací obsahuje alespoň jednu z podezřelých CVE, doporučujeme považovat všech pět za obsahující známou zneužitou CVE.
- Očekává se, že Google Chrome bude vydán v příštích 24 hodinách, takže si krátce poté naplánujte aktualizaci Chromu a případnou aktualizaci Edge.
Priority aktualizace v říjnu
- Kumulativní aktualizace operačního systému Windows je tento měsíc nejvyšší prioritou, protože řeší tři zneužívané a dvě veřejně odhalené CVE.
- Všechny aktualizace Mozilly by měly být nasazeny během vaší aktuální údržby, ale jakékoli odložení nebo zpoždění by s sebou přineslo rizika, protože existují tři CVE, u kterých se spekuluje, že by je bylo možné zneužít.
Zdroj: Ivanti
